Які віруси вражають 3Ds Max?
У наш час складно знайти фахівця CG-індустрії, який не користується тематичними форумами, 3D-стоками та величезною кількістю онлайн-ресурсів. І кожного разу ви ризикуєте заразити свій робочий інструмент шкідливими вірусами, що може спричинити безліч неприємних проблем, іноді з повною втратою можливості продовжити роботу.
Досить один раз відкрити заражений файл сцени (*.max) або додати такий файл у свою сцену.
У цій статті ми детально розберемося, які віруси існують і чим вони небезпечні.
ALC BETACLEANER
Вірус ALC, найімовірніше, отримав своє широке поширення через безкоштовні 3д моделі. Це по суті скрипт (Maxscript), що пошкоджує налаштування програми. Після зараження вашої програми всі ваші сцени *.max також піддаються ризику бути зараженими, як тільки ви їх відкриєте.
Скрипт створює приховані файли на вашому комп'ютері. Вони розташовуються в папці startup вашого 3dsMax, з назвою vrdematcleanbeta і розширеннями ms, mse, msex
Увага!
Це приховані файли, ви не зможете їх побачити, якщо у вас відключена властивість відображати приховані файли. Для того, щоб їх побачити, необхідно в налаштуваннях системи включити відображення прихованих файлів: View → Folder Options на View Hidden Files and Folders
Якщо ваш 3Ds Max заражений ALC, ви можете зіткнутися з такими неприємностями: сцени не будуть відкриватися і вилітати, будуть створюватися порожні хелперси з назвами “¡¡×ý × û” і “×þ×ü”, ви не зможете зберегти сцену, не буде працювати Ctrl+Z, Maxscript буде показувати помилки, можуть самовільно видалятися джерела освітлення і камери. Матеріали можуть змінювати свої властивості. Закриваючи сцену, ви виберете «Don't Save», а вона все одно буде зберігатися, ви не зможете зберегти джерела світла V-Ray. В інші скрипти програми пропишеться виконуваний код і будь-які дані сцени можуть пошкодитися.
CRP BSCRIPT & ADSL BSCRIPT
CRP аналогічно є скриптом (Maxscript), що пошкоджує вашу програму та інші її скрипти.
Чого очікувати після зараження цими вірусами:
- Не працює Ctrl+Z, коли ви перемикаєтеся між Viewport;
- Приховуються, а іноді і видаляються джерела освітлення;
- Видаляються шейдери;
- Самостійно видаляється деяка геометрія сцени.
ALC2 ALPHA
Цей скрипт, крім усього раніше описаного, здатний створювати змінні середовища 3Ds Max.
Файли скрипту також мають властивості прихованих і розташовуються в папці startup вашого 3dsMax, з назвами vrdematcleanalpha, vrdestermatconvertor і vrayimportinfo, що мають розширення ms, mse, msex.
Створює багато проблем, аналогічних ALC BETACLEANER.
ALC3 ALPHA
Ще одна варіація ALC BETACLEANER, більш прогресивна.
Шкідливий код здатний самостійно оновлюватися і мутувати!
Можливості ALC і проблеми, які з ним пов'язані:
- Програма вилітає, а деякі сцени і зовсім немає можливості відкрити;
- Створюються хелпер об'єкти;
- Не виходить скористатися Ctrl+Z;
- Maxscript вказує на помилки;
- Налаштування рендера (V-Ray) самостійно змінюються. Ви можете виявити самовільну зміну параметрів v-ray frame buffer, налаштувань global illumination та ін.;
- Налаштування шейдерів самовільно змінюються.
Крім цього, скрипт збирає дані і відправляє їх з поштової адреси sss777_2000@126.com на поштову адресу rrr888_3000@126.com. Виявлено злив таких даних і властивостей:
- Зображення з вашого VFB;
- Дані про ваше місцезнаходження: ip і ваша mac адреса
- Технічна інформація вашого комп'ютера, наприклад дані про ваш жорсткий диск, встановлену пам'ять і потужності процесора.
- Дані вашого ПЗ, наприклад версії 3Ds Max тощо;
Відомо, що скрипт оновлюється, завантажуючи оновлення з сайту maxscript.cc
Файли скрипту розміщуються на комп'ютері в папці startup вашого 3dsMax, з назвами vrdematpropalpha, що мають розширення ms, mse, msex.
DESIRE FX CA
При зараженні ви ризикуєте зіткнутися з таким:
- До назв об'єктів додається префікс;
- З'являються об'єкти зі словами реклами;
- Також реклама прописується в документі File Info;
- Гальмує вьюпорт.
AD WEB CA
Труднощі, які виникають від цього вірусу:
- Реклама сайту в Maxscript у вигляді веб-сторінки;
- З'являються текстові об'єкти з рекламою;
- Гальмує вьюпорт.
Можливо включити блокування рекламних сайтів безпосередньо в системі. Для цього необхідно виконати елементарні дії:
- Знайдіть файл, який називається hosts і розташований за цим шляхом: C:/WINDOWS/system32/drivers/etc/hosts і відкрийте його за допомогою Notepad;
- В кінці допишіть наступне:
127.0.0.1 www.3dsmj.com
127.0.0.1 3d.znzmo.com
- Після збереження документа обов'язково необхідно перезавантажити комп'ютер.
PHYSXPLUGINMFX
PhysXPluginMfx (ще один варіант скриптів ALC2, ALC, CRP і ADLS) - розроблявся хакерами як інструмент для промислового шпигунства з метою атаки великих підприємств. Поширюють його за допомогою фішингових сайтів через сторонні плагіни. Пошкоджує налаштування ПЗ 3Ds Max і заражає інші файли в цьому програмному середовищі. Відбувається збір даних про вашу систему. Відомо, що ця інформація відправляється на C&C сервери, розташовані в Південній Кореї.
На вашому комп'ютері створюються файли, що виконують шкідливий код. Вони розташовуються в папці startup вашого 3dsMax, з назвами PhysXPluginStl з розширеннями ms, mse.
На що здатний:
- Відбувається кодування файлів «*.mse» (base64 кодування .NET 4.5 асемблера);
- Зараження ваших «*.max» сцен;
- Передача вашої особистої інформації.
ALIENBRAINS (MSCPROP.DLL)
Найчастіше зараження ALIENBRAINS відбувається через стандартні моделі, завантажені з неперевірених онлайн-ресурсів. Цей шкідливий Maxscript пошкоджує файли установки програми і відповідно сцени на вашому комп'ютері.
Вірус Alienbrains може сповільнювати роботу сцени. Відкриття файлів відбувається неприпустимо довго. Збереження і автозбереження теж відбувається з трудом.
«Runtime error: FileStream cannot create...» - така помилка виникає, коли ви відкриваєте заражений файл.
У корені програми створюється файл з назвою mscprop.dll. Це відбувається, коли в налаштуваннях Windows відключений Контроль облікових записів.
Ви можете запідозрити зараження вашого ПЗ Alienbrains, якщо зіткнулися з такими проблемами:
- Ви виявили mscprop.dll в корені вашої програми;
- Файли довго відкриваються і зберігаються;
- У об'єктів мимовільно з'являються непотрібні атрибути;
- У rootcene і callback ви виявили небажані властивості;
- Помилка в Maxscript (дивіться скріншот);
- Вам не вдається скористатися Ctrl+Z.
Файли цього шкідливого коду знаходяться в папці Temp на вашому комп'ютері, з назвами Local_temp з розширеннями ms, mse, а також в корені програми - mscprop.dll і папці stdplugs - файл PropertyParametersLocal.mse.
KRYPTIK CA
Цей шкідливий скрипт, як і попередній, пошкоджує інсталяційні дані та файли вашого програмного забезпечення. Зараження також зазвичай відбувається при використанні 3D-моделей, взятих з неперевірених ресурсів.
KRYPTIK CA впливає на швидкість відкриття сцен.
Що робить:
- Сцени дуже довго відкриваються і зберігаються, в тому числі і довге автозбереження. Може відбуватися самовільний перезапуск сцени;
- Для об'єктів можуть самовільно створюватися різні атрибути;
- Можуть створюватися небажані властивості функцій TrackViewNodes.AnimLayerControlManager і callback;
- Відбувається виконання шкідливого коду (base64 кодування .NET 4.5 асемблера з *.dll файлу із заплутаним кодом).
На сьогоднішній день точна загроза цього *.dll не встановлена, але роботи з розшифрування коду ведуться.
ЯК ВИЗНАЧИТИ НАЯВНІСТЬ ВІРУСУ?
Можна самостійно виявити кожен з цих шкідливих скриптів на своєму комп'ютері, виконавши прості дії. Необхідно відкрити MaxScript Listener, скопіювати і вставити рядок відповідно до того, на який вірус ви хочете перевірити (нижче наведено рядки для кожного з вірусів, які можна виявити таким способом) і натиснути Enter. Оцінюючи виконання команди, можна судити про наявність вірусу. При відповіді false - ви не заражені, при відповіді true - у вас є цей вірус!
Перевірка на ALC betaclenaer
(globalVars.isGlobal #AutodeskLicSerStuckCleanBeta)
Перевірка на ADSL bscript
(globalVars.isGlobal #ADSL_BScript)
Перевірка на CRP bscript
(globalVars.isGlobal #CRP_BScript)
Перевірка на ALC2 alpha
(globalVars.isGlobal #AutodeskLicSerStuckCleanAlpha)
Перевірка на PhysXPluginMfx
(globalVars.isGlobal #physXCrtRbkInfoCleanBeta)
Перевірка на ALC3 alpha
(globalVars.isGlobal #AutodeskLicSerStuckAlpha)
Перевірка на Alienbrains
(try(TrackViewNodes.TVProperty.PropParameterLocal.count >= 0) catch(false))
Перевірка на Kryptik CA
((try(TrackViewNodes.AnimLayerControlManager.AnimTracks.ParamName) catch(undefined)) != undefined)
Щоб виявити деякі віруси, немає необхідності проводити спеціальну перевірку, їх наявність можна побачити безпосередньо в самій програмі.
Наявність вірусу AD Web CA
У Maxscript буде реклама сайтів: 3dsmj і 3d.znzmo.
Наявність вірусу Desire FX CA
Всі об'єкти перейменовуються з префіксом «desirefx».
Важлива інформація!
На жаль, не всі віруси можна виявити та усунути самостійно. Але Prune Scene легко вирішує цю проблему.
ЯК ОЧИСТИТИ ВІРУСИ?
Щоб убезпечити себе від зараження або очистити вже заражену сцену, скористайтеся скриптом Prune Scene.
Рекомендовано увімкнути режим Активного захисту, всі наявні шкідливі скрипти будуть видалені, а перевірка та видалення відбуватимуться автоматично при відкритті заражених файлів.
Головна відмінність цього скрипта від інших подібних аналогів полягає в тому, що його не потрібно запускати вручну. Ви завжди можете бути впевнені в результаті, оскільки немає ймовірності, що ви забудете перевірити якусь 3D-модель. Особливо це актуально для великих компаній, де над однією сценою можуть працювати кілька фахівців. До того ж Prune Scene очищає від усіх відомих модифікацій вірусів, і немає необхідності користуватися декількома різними скриптами для виявлення різних видів шкідливих скриптів.
Завантажити Prune Scene
Важливо!
Скриптом Prune Scene можна користуватися безкоштовно!
Всі 3д моделі, що завантажуються на 3DBaza, проходять обов'язкову перевірку на наявність шкідливих вірусів, заражені моделі не допускаються до публікації. Завантажуючи моделі з нашого сайту, ви можете бути впевнені, що вони не завдадуть шкоди вашому ПЗ і вашим робочим файлам.
Інформація для статті люб'язно надана користувачем MastaMan
